SIKKERHET

Apache-sårbarhet enda skumlere enn først antatt

Åpner også for fjernkjøring av kode på webserveren.

Sårbarheten i Apache HTTP Server åpner ikke bare for å lese mange filer på serveren, men også å kjøre kode. Heldigvis er en sikkerhetsoppdatering tilgjengelig.
Sårbarheten i Apache HTTP Server åpner ikke bare for å lese mange filer på serveren, men også å kjøre kode. Heldigvis er en sikkerhetsoppdatering tilgjengelig. Illustrasjon: PantherMedia/Sergey Nivens
Harald BrombachHarald BrombachNyhetsleder
7. okt. 2021 - 17:00

Den mest alvorlige av de to Apache HTTP Server-sårbarhetene som Digi.no omtalte onsdag denne uken, viser seg å være mer alvorlig enn først antatt. I beskrivelsen av sårbarheten heter det at den åpner for sti-traversering og potensiell lesetilgang til langt flere filer på systemet enn dem som er tilgjengelige i dokumentrot-mappen, noe som har blitt utnyttet i faktiske angrep. 

Åpner for fjernkjøring av kode

Men videre undersøkelser fra eksterne sikkerhetsforskere har avdekket at sårbarheten også gjør det mulig å fjernkjøre både innebygde kommandoer og opplastede, kjørbare filer på det sårbare systemet. Dette skriver Bleeping Computer som viser til flere slike konseptbevis som onsdag ble publisert på Twitter.

På Linux-baserte servere vil kjøring av opplastede filer gjerne kreve at angriperen også greier å endre tillatelsen til filen, slik at den blir kjørbar. Dette gjøres typisk med kommandoen chmod +x. På Windows-baserte servere har det blitt demonstrert at det innebygde kalkulatorprogrammet i Windows kan startes ved å besøke en spesifikk nettadresse. 

Feilen oppstod i Crowdstrikes Faclon-sensor, nærmere bestemt i csagent.sys-filen.
Les også

Crowdstrike-kollapsen: Dette gikk galt

Langt fra alle servere er berørt

Noen forutsetninger må likevel være tilstede

For det første finnes sårbarheten kun i versjon 2.4.49 av HTTP Server. Denne versjonen kom i juni i år, og det er langt fra alle som har tatt den i bruk. 

En annen forutsetning for fjernkjøring av kode, er at støtten for CGI (Common Gateway Interface) er aktivert med modulen mod_cgi. I tillegg må standardinnstillingen «Require all denied» mangle i konfigurasjonen. 

Mange Apache-baserte webservere vil dermed ikke være berørt av sårbarheten, men sårbarheten er ekstremt enkel å utnytte på servere som faktisk er sårbare. 

De som benytter Apache HTTP Server 2.4.49 anbefales derfor å oppdatere til versjon 2.4.50 så raskt som mulig.

Qualys har gitt den gjeninnførte OpenSSH-sårbarheten både et navn og en logo.
Les også

Alvorlig sårbarhet gjeninnført i OpenSSH

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.